내 tistory 블로그로 악성코드가 배포 ?! (2) 패킷 분석편

페북 모님으로 부터 패킷을 받았습니다.

(다시 한번 감사합니다.)

fiddler에서 사용하는 saz 이군요.

(실제 파일은 zip 파일입니다.)

1. fiddler 설치

fiddler은 .Net 을 필요로 합니다.

윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다.

http://www.telerik.com/download/fiddler 에서 다운로드 합니다.

회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요.

몇 번 사용 안 해봐서 아직 익숙하지는 않습니다.

2. saz 열기

[File] -> [Load Archive]로 saz 파일을 엽니다.

그럼 주고 받은 패킷이 화면에 나옵니다.

3. 경유지 찾기

어떤 tistory.com 에 접속했을 때 패킷 기록임을 알 수 있습니다.

흐름을 보니 갑자기 이상한 사이트(www.happy*.co.kr/css/index.html)가 눈에 들어옵니다.

코드도 좀 이상합니다.

이 페이지를 어디서 로드하는지 역으로 하나하나 패킷 내용을 확인합니다.

광고 플러그인 페이지에서 iframe으로 www.happy*.co.kr/css/index.html을 로드하는걸 볼 수 있습니다.

오케이...

티스토리 접속 -> 광고 플러그인 로드 -> 광고 플러그인은 iframe으로 www.happy*.co.kr/css/index.html 로드 라는걸 알 수 있습니다.

4. 배포처 찾기

좀 더 내려가보면 www.car*.net/data/file/b.exe에서 파일을 다운로드 되는걸 확인 할 수 있습니다.

파일도 MZ와 PE 를 포함하고 있으니 PE 파일임을 알 수 있습니다.

배포 된 주소해 파일을 다운로드 하려니 '공격 사이트 보고!'가 가로 막아 버리네요.

(현재는 해당 파일이 삭제되어서 파일이 다운로드 되지 않습니다.)

5. b.exe 뽑아 내기

웹브라우저에서 접근 할 수 없으니 (다른 웹브라우저를 이용하거나 wget으로 다운로드 하면 됩니다만...)

Fiddler에서 파일 다운로드 해보겠습니다.

일단 www.car*.net/data/file/b.exe 요청 부분으로 옮겨갑니다.

파일 저장은 [File] -> [Save] -> [Response] -> [Response Body]로 할 수 있습니다.

http://www.car*.net/data/file/b.exe 를 요청해서 응답하는(Response Body)만 받으면 악성코드 본체만 다운로드 할 수 있습니다.

b.exe 다운로드 창이 뜹니다.

이제 저장하고 (안전을 위해 확장자를 exe_와 같이 바꿔주는 센스!)

*** 결론

패킷이나 이런 부분은 시큐리티 파트 분들이 잘하다보니 저의 툴 사용 방법을 보고 뭘 저렇게 해 ?! 하는 분들도 있을 듯 합니다.

오래된 파일 분석가의 한계... TT

요즘 어린(?) 분석가들은 이런 툴 잘 사용하겠죠 ?!